VMware는 원격 코드 실행 및 로컬 권한 상승 결함을 포함하여 vCenter Server의 심각한 취약점을 해결하는 보안 권고를 발표했습니다.
VMware vCenter Server는 VMware vSphere를 위한 중앙 관리 플랫폼으로, 가상 머신과 ESXi 호스트를 관리할 수 있도록 해줍니다.
오늘 공급업체는 CVE-2024-37079, CVE-2024-37080, CVE-2024-37081의 세 가지 취약점에 대한 수정 사항을 출시했으며 요약하면 다음과 같습니다.
- CVE-2024-37079: vCenter Server의 DCERPC 프로토콜 구현에 있는 힙 오버플로 취약점으로, 네트워크 액세스 권한이 있는 악의적인 행위자가 특수하게 제작된 패킷을 보내 원격 코드 실행으로 이어질 가능성이 있습니다. (CVSS v3.1 점수: 9.8 “중요”)
- CVE-2024-37080: vCenter Server의 DCERPC 프로토콜에 있는 또 다른 힙 오버플로 취약점입니다. CVE-2024-37079와 유사하게, 네트워크 액세스 권한이 있는 공격자가 정교하게 만든 패킷을 보내 힙 오버플로를 악용하여 원격 코드 실행이 발생할 가능성이 있습니다. (CVSS v3.1 점수: 9.8 “중요”)
- CVE-2024-37081: 이 취약점은 vCenter Server에서 sudo를 잘못 구성하여 발생하며, 인증된 로컬 사용자가 이 결함을 악용하여 vCenter Server Appliance에서 루트로 권한을 상승시킬 수 있습니다. (CVSS v3.1 점수: 7.8 “높음”)
위의 결함은 VMware vCenter Server 버전 7.0 및 8.0과 VMware Cloud Foundation 버전 4.x 및 5.x에 영향을 미칩니다.
VMware vCenter Server 8.0 U2d, 8.0 U1e 및 7.0 U3r에서 보안 업데이트가 제공되었습니다. Cloud Foundation의 경우 패치는 KB88287을 통해 푸시되었습니다.
공급업체는 vCenter Server를 업데이트해도 실행 중인 작업이나 VM에 영향을 미치지 않지만 업데이트 중에는 vSphere Client와 기타 관리 인터페이스에서 일시적으로 사용할 수 없을 것으로 예상된다고 말합니다.
또한, 7.0 U3r(U3q에도 있음)에서 사용자 지정 암호에 대한 문제가 감지되었습니다. 문제를 포착하기 위해 사전 검사를 권장하며, 사용자는 해당 지식 기반 문서를 참조할 수도 있습니다.
공급업체는 이러한 취약점에 대한 실행 가능한 제품 내 해결 방법이나 완화 조치가 없으므로 권장되는 솔루션은 가능한 한 빨리 업데이트를 적용하는 것이라고 밝혔습니다.
VMware가 보안 공지와 함께 게시한 FAQ 페이지에서, 해당 회사는 아직까지 해당 결함의 실제 악용 사례는 감지되지 않았다고 밝혔습니다.
그러나 vCenter 결함이 공개되면 위협 행위자가 이를 표적으로 삼는 경우가 드물지 않으므로 관리자는 가능한 한 빨리 업데이트를 적용해야 합니다.